Mikrotik ochrana proti MAC clonu

Dr.Who

Mikrotik ochrana proti MAC clonu
« kdy: 29. 04. 2015, 12:11:26 »
Ahoj,
mam MK kde bezi hotspot. Jenomze se mi stava, ze si uzivatele clonuji MAC adresy a sdili svoje username/passwd. Je nejaka moznost jak znemoznit clonovani nebo jak jim aspon stizit obejiti MAC, username / passwd kontroly?


Dr.Who

Re:Mikrotik ochrana proti MAC clonu
« Odpověď #1 kdy: 29. 04. 2015, 12:53:17 »
Princip je takovy, ze si do site uzivatel pripoji router. Za routerem provede uzivatel autorizaci a pak se muzou vsichni vesele pripojovat pod NATem

ES

Re:Mikrotik ochrana proti MAC clonu
« Odpověď #2 kdy: 29. 04. 2015, 13:03:05 »
NAT se da detekovat. klonovani MAC ne zabranit neda/

Dr.Who

Re:Mikrotik ochrana proti MAC clonu
« Odpověď #3 kdy: 29. 04. 2015, 13:05:09 »
NAT se da detekovat. klonovani MAC ne zabranit neda/

Muzes to prosim popsat nejak blize?

David1234

Re:Mikrotik ochrana proti MAC clonu
« Odpověď #4 kdy: 29. 04. 2015, 13:12:54 »
A proč by si uživatel nemohl naklonovat adresu? Věřím tomu, že strávíš spoustu času hledáním řešení, které stejně nikdy nebude 100% účinné..


ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:Mikrotik ochrana proti MAC clonu
« Odpověď #5 kdy: 29. 04. 2015, 13:16:18 »
co mě napadá tak minimálně udělat static ARP a svázat MAC ke konkrétní IP, ale v případě, že správnou kombinaci nasadí i 'klient' klonování se nepůjde ubránit, jedině detekovat NAT podle TTL? nejspíše a na to nasadit nějaké firewal pravidlo
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

Dr.Who

Re:Mikrotik ochrana proti MAC clonu
« Odpověď #6 kdy: 29. 04. 2015, 13:25:57 »
to s tim TTL .... je asi zatim "nejzivejsi"

Akorat nevim jak teda rict ktera TTL je pro detekci nejschudnejsi :/
Protoze kazdej server ji ma podle pingu jinou.


Lol Phirae

Re:Mikrotik ochrana proti MAC clonu
« Odpověď #7 kdy: 29. 04. 2015, 13:42:45 »
A proč ten hotspot normálně nezrušíš?

crown

Re:Mikrotik ochrana proti MAC clonu
« Odpověď #8 kdy: 29. 04. 2015, 13:52:14 »
Kdyz si nekdo koupi internet konektivity, tak si muze klidne zapojit router a pod nej 50 pocitacu (svych, ne souseda).
Kdyby se poskytovatel branil, tak jdu k jinemu.

TTL muze router upravovat taky, takze to jen o neco ztizis. Dale se muze router pripojit pres VPN nekam jinam a s tim uz neudelas vubec nic a ani to nepoznas.

Taky muzes delat nocni prepadovky a fyzicky u uzivatele spocitat pocitace.


M.

Re:Mikrotik ochrana proti MAC clonu
« Odpověď #9 kdy: 29. 04. 2015, 13:54:14 »
to s tim TTL .... je asi zatim "nejzivejsi"

Akorat nevim jak teda rict ktera TTL je pro detekci nejschudnejsi :/
Protoze kazdej server ji ma podle pingu jinou.

Ptákovina s TTL se obvykle používá tak, že na tom hotspotu nastavíš paketům odcházejícím ke klientům pomocí  /ip/firewall/mangle change TTL na hodnotu 1. Přímo připojený počítač to zpracuje a přijme. Navíc vložený router do cesty paket s TTL=1 už zlikviduje a nepustí dál.
Funguje to samozřejmě do okmažiku, než si toho dotyčný všimne a na svém "pirátském routeru" použije stejnou funkci pro navýšení hodnoty TTL v prerouting. :-)

ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:Mikrotik ochrana proti MAC clonu
« Odpověď #10 kdy: 29. 04. 2015, 13:57:54 »
mozna chypu potrebu proc tomu zabranit....hotspot je preci 'vetsinou' verejny bod a poskytuje se pro docasne pripojeni a ne permanentni spojeni kdy si tam nekdo povesi router

tu detekci bych provadel asi linuxovou stanici, protoze tam dokazes videt na tom jednom spiji pekne rozdilna ID co bude jasna identifikace, ze je tam vice stroju
na mikrotiku bude potreba napsat nejakej script, protoze standardni cestou jde jen manglovat pakety na parametr TTl (is equal, is greater, is lower, etc) a k tomu se pak vytvori action.
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:Mikrotik ochrana proti MAC clonu
« Odpověď #11 kdy: 29. 04. 2015, 14:00:28 »
Citace
Ptákovina s TTL se obvykle používá tak, že na tom hotspotu nastavíš paketům odcházejícím ke klientům pomocí  /ip/firewall/mangle change TTL na hodnotu 1. Přímo připojený počítač to zpracuje a přijme. Navíc vložený router do cesty paket s TTL=1 už zlikviduje a nepustí dál.
Funguje to samozřejmě do okmažiku, než si toho dotyčný všimne a na svém "pirátském routeru" použije stejnou funkci pro navýšení hodnoty TTL v prerouting. :-)

presne tak...touto technikou nezjistujes NAT v ceste, ale rovnou likvidujes :_)
- jedna technika je NAT zjistovat
- druha pak NAT znemoznovat
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

Dr.Who

Re:Mikrotik ochrana proti MAC clonu
« Odpověď #12 kdy: 29. 04. 2015, 15:12:22 »
Dekuju za tip :)

Tak uz na kazdem hostu konci TTL=1 tak pokud by tam sedel router tak hostu doje TTL=expired :D
Podle MAC adres co sem nasel jde o TP-linky a ty snad nemaji moznost zmeny TTL

Zopper

  • *****
  • 671
    • Zobrazit profil
Re:Mikrotik ochrana proti MAC clonu
« Odpověď #13 kdy: 29. 04. 2015, 15:24:47 »
mozna chypu potrebu proc tomu zabranit....hotspot je preci 'vetsinou' verejny bod a poskytuje se pro docasne pripojeni a ne permanentni spojeni kdy si tam nekdo povesi

Je lepší trvalý uživatel, co tahá pár webových stránek a emailů ze svých pár zařízení, nebo uživatel, který sice žádný nat nedává, připojuje se jen jedním zařízením - ale zato má premium na uloz.to či jede torrenty? Podle toho, že OP poskytuje login a heslo každému uživateli zvlášť soudím, že to je spíš nějaká síť pro stálejší provoz (třeba připojení na ubytovacím zařízení), než wifi v kavárně. Tohle čistě hádám podle toho, co za sítě jsem viděl...

Každopádně ale otázka pro Dr.Who: jak to je když si chci třeba na tu síť připojit notebook i smartphone? Nenutí uživatele k používání natu právě nějaké takovéto omezení?

crown

Re:Mikrotik ochrana proti MAC clonu
« Odpověď #14 kdy: 29. 04. 2015, 16:44:28 »
Dekuju za tip :)

Tak uz na kazdem hostu konci TTL=1 tak pokud by tam sedel router tak hostu doje TTL=expired :D
Podle MAC adres co sem nasel jde o TP-linky a ty snad nemaji moznost zmeny TTL

Na hodne TP-linkach jde nahrat OpenWRT, ale samozrejme to neda kazdy (router/uzivatel)